वर्डप्रेस एलिमेंट वल्नरेबिलिटी +7 मिलियन को प्रभावित करती है

Wordfence के सुरक्षा शोधकर्ताओं ने Elementor के साथ निर्मित साइटों पर भेद्यता की खोज की। शोषण एक प्रकार है जिसे एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के रूप में निर्दिष्ट किया गया है। इसमें हमलावरों को किसी वेबसाइट का नियंत्रण जब्त करने की क्षमता है।

संग्रहित क्रॉस साइट भेद्यता

क्रॉस साइट स्क्रिप्टिंग (XSS) एक प्रकार की भेद्यता है जहां एक हमलावर एक दुर्भावनापूर्ण स्क्रिप्ट अपलोड करता है जिसे तब किसी भी व्यक्ति द्वारा निष्पादित किया जाएगा जो वेब पेज पर जाता है जहां स्क्रिप्ट ब्राउज़र में प्रदर्शित होती है।

स्क्रिप्ट किसी भी तरह की कई चीजें कर सकती हैं जैसे कि कुकीज, पासवर्ड क्रेडेंशियल्स वगैरह चुराना।

विज्ञापन

नीचे पढ़ना जारी रखें

XSS शोषित के इस विशेष संस्करण को एक संग्रहीत क्रॉस साइट स्क्रिप्टिंग भेद्यता कहा जाता है क्योंकि यह वेबसाइट पर ही संग्रहीत है।

दूसरे प्रकार के XSS को रिफ्लेक्टेड क्रॉस साइट स्क्रिप्टिंग कहा जाता है, जो एक लिंक पर क्लिक किए जाने पर निर्भर करता है (जैसे ईमेल के माध्यम से)।

संग्रहित क्रॉस साइट स्क्रिप्टिंग में नुकसान करने की अधिक क्षमता है क्योंकि यह किसी भी आगंतुक को किसी वेब पेज पर हमला कर सकता है।

संग्रहीत XSS एलिमेंट एक्सप्लॉइट

एलिमेंट को प्रभावित करने वाली संग्रहीत XSS भेद्यता का उपयोग व्यवस्थापक क्रेडेंशियल्स चोरी करने के लिए किया जा सकता है। हमलावर को पहले एक प्रकाशन स्तर वर्डप्रेस उपयोगकर्ता भूमिका प्राप्त करनी चाहिए, यहां तक ​​कि सबसे कम योगदानकर्ता स्तर भी हमले की शुरुआत कर सकता है।

योगदानकर्ता स्तर वर्डप्रेस भूमिका एक पंजीकृत उपयोगकर्ता का निम्न स्तर है जो वेबसाइट पर अपने स्वयं के लेख पढ़, प्रकाशित, संपादित और हटा सकता है। वे हालांकि छवियों की तरह मीडिया फ़ाइलों को अपलोड नहीं कर सकते।

विज्ञापन

नीचे पढ़ना जारी रखें

एलिमेंटरी वल्नरेबिलिटी अटैक कैसे काम करता है

भेद्यता एक खामियों का शोषण करती है जो एक हमलावर को संपादन स्क्रीन के भीतर एक दुर्भावनापूर्ण स्क्रिप्ट को अपलोड करने की क्षमता देती है।

छः तत्व छह तत्व घटकों में मौजूद थे:

  1. अकॉर्डियन
  2. आइकन बॉक्स
  3. छवि बॉक्स
  4. शीर्षक
  5. डिवाइडर
  6. स्तंभ

Wordfence ने बताया कि कैसे हमलावर इन घटकों का शोषण करते हैं:

“इनमें से कई तत्व सामग्री के लिए HTML टैग सेट करने का विकल्प प्रदान करते हैं। उदाहरण के लिए, हेडिंग_साइज़ पैरामीटर के माध्यम से विभिन्न शीर्षक आकारों को लागू करने के लिए “हेडिंग” तत्व को एच 1, एच 2, एच 3, आदि टैग का उपयोग करने के लिए सेट किया जा सकता है।

दुर्भाग्य से, इनमें से छह तत्वों के लिए, HTML टैग्स सर्वर साइड पर मान्य नहीं थे, इसलिए किसी भी उपयोगकर्ता के लिए संभव है कि वह एलीमेंटर एडिटर को एक्सेस करने में सक्षम हो, जिसमें योगदानकर्ता भी शामिल हों, निष्पादन योग्य जावास्क्रिप्ट को पोस्ट या पेज के माध्यम से जोड़ने के लिए इस विकल्प का उपयोग करें। एक गढ़ा अनुरोध। ”

एक बार स्क्रिप्ट को वेब पेज पर किसी भी आगंतुक को अपलोड करने के बाद, भले ही वह संपादक हो जो पेज को प्रकाशित करने से पहले पूर्वावलोकन कर रहा हो, ब्राउज़र में कोड को निष्पादित कर सकता है और उनके प्रमाणित सत्र को हमलावर को उपलब्ध करा सकता है।

एलिमेंट को अभी अपडेट करें

यह Wordfence द्वारा अनुशंसित है कि Elementor के सभी उपयोगकर्ता अपने संस्करण को कम से कम 3.1.4 (प्रति Wordfence) में अपडेट करते हैं, हालांकि आधिकारिक एलिमेंट प्रो प्रो परिवर्तन के बारे में बताता है कि इसमें सुरक्षा फ़िक्स है।

एक चेंजलॉग एक सॉफ्टवेयर डेवलपर के सॉफ्टवेयर के हर संस्करण में बदलाव का आधिकारिक रिकॉर्ड है।

यह उपलब्ध नवीनतम संस्करण के लिए अद्यतन करने के लिए विवेकपूर्ण हो सकता है, क्योंकि एलिमेंटर प्रो 3.2.0 एक सुरक्षा समस्या को हल करता है:

“बेहतर सुरक्षा नीतियों को लागू करने के लिए संपादक में स्वच्छता के विकल्प”

उद्धरण

आधिकारिक पद की घोषणा:
क्रॉस-साइट स्क्रिप्टिंग 7 मिलियन से अधिक साइट्स में एलिमेंट इम्पैक्ट में कमजोरियाँ

विज्ञापन

नीचे पढ़ना जारी रखें

एलिमेंटरी प्रो चेंजलॉग

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *